不正アクセスしてくるIPを晒すスレ Part8

このエントリーをはてなブックマークに追加
952名無しさん@お腹いっぱい。:2006/05/06(土) 22:33:05
>>951
May 5 01:37:45 localhost xinetd[442]: START: telnet pid=1427 from=221.241.120.7
May 5 01:37:45 localhost xinetd[442]: START: telnet pid=1428 from=221.241.120.7
May 5 02:58:02 localhost xinetd[442]: START: telnet pid=1461 from=221.241.120.7
May 5 02:58:02 localhost xinetd[442]: START: telnet pid=1462 from=221.241.120.7
May 5 03:14:00 localhost xinetd[442]: START: telnet pid=1477 from=221.241.120.7
May 5 03:14:01 localhost xinetd[442]: START: telnet pid=1478 from=221.241.120.7
May 5 15:59:08 localhost xinetd[442]: START: telnet pid=1955 from=221.241.120.7
May 5 15:59:08 localhost xinetd[442]: START: telnet pid=1956 from=221.241.120.7
May 5 23:07:11 localhost xinetd[442]: START: telnet pid=2182 from=221.241.120.7
May 5 23:07:11 localhost xinetd[442]: START: telnet pid=2183 from=221.241.120.7

Apacheだけじゃなかった・・・
953名無しさん@お腹いっぱい。:2006/05/07(日) 01:39:25
>>949
残念でした1つズレてしまいましたね。さすが大将軍。
954名無しさん@お腹いっぱい。:2006/05/07(日) 06:53:08
222.122.199.8

211.154.222.56
61.186.252.158
60.190.232.32
955名無しさん@お腹いっぱい。:2006/05/07(日) 17:38:49
すいませんこのIPの情報わかりませんか?
IP:203.180.88.45 です
よろしくお願いいたします。
956名無しさん@お腹いっぱい。:2006/05/07(日) 18:30:51

Domain Information: [ドメイン情報]
a. [ドメイン名] MESH.AD.JP
e. [そしきめい] にっぽんでんきかぶしきがいしゃ
f. [組織名] 日本電気株式会社
g. [Organization] NEC Corporation
k. [組織種別] JPNIC会員ネットワーク
l. [Organization Type] JPNIC Member's Network
m. [登録担当者] NK032JP
n. [技術連絡担当者] SK4819JP
p. [ネームサーバ] ns02.mesh.ad.jp
p. [ネームサーバ] ns03.mesh.ad.jp
[状態] Connected (2006/12/31)
[登録年月日] 1994/12/12
[接続年月日] 1995/01/30
[最終更新] 2006/01/01 01:16:12 (JST)

一回リモホ強制表示の板でこいつを注意したら
毎日のように来るorz
957名無しさん@お腹いっぱい。:2006/05/07(日) 18:42:59
>>1
不正アクセスの意味わかってる?
958名無しさん@お腹いっぱい。:2006/05/07(日) 18:44:24
>>955
残念ながらそのIP情報からは何もわかりません。
959名無しさん@お腹いっぱい。:2006/05/07(日) 19:00:36
Whoisの[最終更新]ってIPが変わった日のことですか?
960名無しさん@お腹いっぱい。:2006/05/07(日) 19:10:16
whoisじゃないですか。まぁとにかく
956>に[最終更新]ってるじゃないですか、何が更新されているのですか?
Ipが変化したのですか?
961名無しさん@お腹いっぱい。:2006/05/07(日) 19:51:51
>>960
最終更新]ってるじゃないですか最終更新]ってるじゃないですか最終更新]ってるじゃないですか
962名無しさん@お腹いっぱい。:2006/05/08(月) 08:10:09
203.131.198.199からPCの電源入れるたびにアクセスがあります。
なんでだろ?
963名無しさん@お腹いっぱい。:2006/05/08(月) 08:53:28
blog.t.livedoor.jpに聞けよ、つか、おまいのブログとかだったりしない?w
964名無しさん@お腹いっぱい。:2006/05/08(月) 09:04:43
>>963
ブログなんて滅相もない。
livedoorに聞いたほうがよさげだね。サンクス
965名無しさん@お腹いっぱい。:2006/05/08(月) 17:45:20
IPアドレス 220.104.3.196
ホスト名 p3196-ipbf05souka.saitama.ocn.ne.jp
IPアドレス
 割当国 ※ 日本 (JP)
都道府県 埼玉県
市外局番 --
接続回線 光

IPアドレス 220.104.57.151
ホスト名 p3151-ipad03hiraide.tochigi.ocn.ne.jp
IPアドレス
 割当国 ※ 日本 (JP)
都道府県 栃木県
市外局番 --
接続回線 xDSL

で、どうした?
966名無しさん@お腹いっぱい。:2006/05/08(月) 19:29:07
さいたまー
967名無しさん@お腹いっぱい。:2006/05/09(火) 16:35:41
IPアドレス 220.96.156.40
ホスト名 p2040-ipbf01funabasi.chiba.ocn.ne.jp
IPアドレス
 割当国 ※ 日本 (JP)
都道府県 千葉県
市外局番 --
接続回線 光

光体操の効果がデてきましたよ。
968962:2006/05/09(火) 20:16:39
livedoorblogに問い合わせたらパッタリとアクセスが無くなった。
電源入れるだけで1日に20〜30回はセキュリティ警告があったのに。
しかも問い合わせの返信メールが来ない…
何か変。
でも、無事解決。
969名無しさん@お腹いっぱい。:2006/05/09(火) 21:13:01
218.229.60.136
970名無しさん@お腹いっぱい。:2006/05/09(火) 21:20:34
>>971
よかったな、でもなんか気持ち悪いな
とりあえずなんかのサイト見てライブドア系だったらこまめにキャッシュ消して
クッキーは残さない、いや受け入れないことだな
971名無しさん@お腹いっぱい。:2006/05/09(火) 22:04:01
>>970
サンクス。
クッキーやキャッシュの件、了解しました。
972名無しさん@お腹いっぱい。:2006/05/09(火) 22:11:45
137.189.97.18
973名無しさん@お腹いっぱい。:2006/05/11(木) 04:19:01
某国からポート8080にアクセスされてる
リクエストは"GET http://www.google.com/intl/zh-CN/ HTTP/1.0" 応答404

8080を選んで開けたのは意図的だけど、実験鯖でproxy機能なんか無いっつの

実害無くても腹立つから、いっそのこと404の替わりに、
天安門や法輪功みたいな検閲対象語句を含めた某国政府批判ページで応答してやろうか…?
974名無しさん@お腹いっぱい。:2006/05/11(木) 10:07:27
それいいな。ぜひ作ったら公開してくれ。
975名無しさん@お腹いっぱい。:2006/05/11(木) 12:09:30
d3015d9a.tcat.ne.jp
211.1.93.154:33134

昨日からのアクセスが100回以上
いい加減にしろ
976名無しさん@お腹いっぱい。:2006/05/12(金) 05:01:22
239.255.255.250
うざすぎ
977名無しさん@お腹いっぱい。:2006/05/12(金) 05:12:40
>>976
ルータのUPnPを止めればいいだろ薄ら馬鹿
978名無しさん@お腹いっぱい。:2006/05/12(金) 08:27:01
>>977
ほんとだ、気付かずに
1時間ぐらい火壁と格闘してたよ、アホだな俺。
ありがとw
979名無しさん@お腹いっぱい。:2006/05/12(金) 14:59:59
206.223.150.96
980名無しさん@お腹いっぱい。:2006/05/13(土) 05:24:48
206.223.149.90
banana340.maido3.com

米国から
981名無しさん@お腹いっぱい。:2006/05/13(土) 05:37:02
>>983
そんな餌にク(r
982名無しさん@お腹いっぱい。:2006/05/13(土) 09:20:33
>>980
2chの鯖
983名無しさん@お腹いっぱい。:2006/05/13(土) 19:42:29
43.244.161.218
の紹介のSPAMが日に50通くらい来てウザイ。
アドレス同じなのに毎回URL違う。
GMO Internet(interQの運営元)のサービスを使ってる。
984名無しさん@お腹いっぱい。:2006/05/14(日) 11:38:38
218.216.234.205
985 株価【60】 :2006/05/15(月) 00:41:22
986名無しさん@お腹いっぱい。:2006/05/15(月) 06:33:02
c-65-96-239-168.hsd1.ma.comcast.net UNKNOWN nobody [10/May/2006:11:37:50 +0900] "USER Administrator" 331 -
c-65-96-239-168.hsd1.ma.comcast.net UNKNOWN nobody [10/May/2006:11:37:50 +0900] "PASS (hidden)" 530 -

15分間で約1800回FTPログイン試行してきた。
だから、AdministratorなんてIDねぇって。
987名無しさん@お腹いっぱい。:2006/05/15(月) 07:39:48
>986
そういうのって大抵は踏み台だろ。sshも多いよ。
たまにアクセスしてきたプロトコルでflooding攻撃してあげてるけど持ち主は気づいてくれるかな?
IDで文章を書いてる。
988名無しさん@お腹いっぱい。:2006/05/15(月) 20:21:27
>>987
な〜る。
IDで文書。。いいねそれw

こんどお返ししてあげよう。
989973:2006/05/16(火) 14:38:22
>>987-988
持ち主は気付かないと思うよw
ってか、気付くようなら最初から踏み台にされたりしないんじゃね?
お前さん方が攻撃者にならなくてもいいでしょ


開けっ放しのポート8080には、米国からIPやリクエスト内容を変えながら数回のアクセス。
顔文字が入ってるリクエスト"GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1"は何かのメッセージか?w

発信元IPは以下。これらも踏み台なのかもしれないけど…
69.15.194.46
61.150.109.73
61.129.117.101
990名無しさん@お腹いっぱい。:2006/05/16(火) 20:10:33
今日
216.129.98.137 - - [16/May/2006:06:11:18 +0900] "GET /a1b2c3d4e5f6g7h8i9/nonexistentfile.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:18 +0900] "GET /adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /adserver/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /phpAdsNew/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:19 +0900] "GET /phpadsnew/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /phpads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /Ads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:20 +0900] "GET /ads/adxmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:21 +0900] "GET /xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:21 +0900] "GET /xmlrpc/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /xmlsrv/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /blog/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:22 +0900] "GET /drupal/xmlrpc.php HTTP/1.0" 404 255 "-" "-"
216.129.98.137 - - [16/May/2006:06:11:23 +0900] "GET /community/xmlrpc.php HTTP/1.0" 404 255 "-" "-"

あと、同じIPで二日おきに
61.129.113.230 - - [16/May/2006:19:24:32 +0900] "GET http://lookfreebies.com/prx1.php HTTP/1.0" 404 255 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

なんですかこれ?
991 :2006/05/17(水) 00:26:40
 
992名無しさん@お腹いっぱい。:2006/05/17(水) 05:37:55
>>991が見えない
993名無しさん@お腹いっぱい。:2006/05/17(水) 11:37:15
>>990
後半の"GET http://〜"は、誰かのIEのproxy設定に入れられてるのでしょう
404を返してるから、実際に踏み台になったのかどうかは分からないです

IEのproxy設定に自鯖のIPとポートを入れて、どこか外部のページを見に行ってみて、
自鯖がproxyとして動かないことを確認しておくのがよいかと
994名無しさん@お腹いっぱい。:2006/05/17(水) 12:12:20
用もないのにGET http://〜はプロクシチェッカだな。
>>990の場合prx1.phpが存在すると200が返るからわかり辛い。
>>993の通りプロクシになってないか確認しておくのが良いかと。
995名無しさん@お腹いっぱい。:2006/05/17(水) 23:25:26
TCP SYN FLOOD ベスト3
40回:207.68.178.16
32回:65.54.195.185
24回:207.68.178.239
996990:2006/05/18(木) 02:14:07
>>993
>>994

サンクス

squidは動かしてないけど、念のため串テストやってみた。
とりあえずプロキシとしては動いてないっぽいです。
Apacheが串に化けてたら手に負えないw

無駄に8080空けてトップにゴミページ載せようかな・・・
997名無しさん@お腹いっぱい。:2006/05/18(木) 04:01:02
>>996
Apacheはバーチャルホスト設定にして、その一番最初をダミーホストにするだよ。
そうすればIPアドレスでアクセスしてくるそやつらは全部そこ行き。
二番目以降で中身のあるホストを設定するだす。
「バーチャルホスト ダミー」で検索してみりん。
998名無しさん@お腹いっぱい。:2006/05/18(木) 09:33:17
192.168.0.19
999名無しさん@お腹いっぱい。:2006/05/18(木) 09:34:02
>>9
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \ /  \ /  \ /  \ /  \
1000名無しさん@お腹いっぱい。:2006/05/18(木) 09:35:52
支那蓄がウザイとです。
もうね氏ねと――
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。